安全研究
安全漏洞
Akopia Interchange电子商务服务器示例文件的漏洞
发布日期:2001-03-28
更新日期:2001-03-28
受影响系统:
Akopia Interchange 4.6.3
Akopia Interchange 4.5.3
描述:
BUGTRAQ ID: 2499
CVE(CAN) ID:
CAN-2001-0372
Akopia Interchange电子商务服务器(
http://www.akopia.com/product.html)的组件中存在一个漏洞。Interchange的某些版本在发行时带有电子商务商店的示例程序,用来演示该软件的功能。这些示例文件包含一个配置错误,使得未经认证的远程用户可以连接到演示商店的基于Web的管理界面。恶意的用户可以通过这个界面来读取或篡改客户数据、产品清单以及订单信息。
<* 来源:Jud Harris (
jud-lists@copernica.com) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
以“:backup”的用户身份连接到某个用来演示的电子商店。
建议:
NSFOCUS建议您修改配置文件,防止用户以“:backup”帐号登录:
修改该软件的各个分类目录及分类模板目录下的products/access.asc文件,将如下的一行
:backup<tab><tab>Backup
改为
:backup<tab>*<tab>Backup
或者删除该行。然后重启该软件。
厂商补丁:
即将发布的Interchange 4.6.4已经修正该漏洞。
浏览次数:3703
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |